HTC America се споразумее с FTC (Федералната комисия по търговия) относно опасенията, че компанията излага на риск милиони лична информация на клиента с несигурни внедрения на софтуер на своите устройства. FTC установи, че HTC не полага разумни усилия при прилагането на най-добрите практики за кодиране и сигурност при създаването на софтуер за своите устройства, като има предвид това:
„не успя да предостави на своя инженерен персонал адекватно обучение за сигурност, не успя да прегледа или тества софтуера на мобилните си устройства за потенциални уязвимости в сигурността, не успя да следва добре известни и общоприети практики за сигурно кодиране и не успя да установи процес за получаване и адресиране на докладите за уязвимост от трети страни."
Това са някои доста силни думи за компанията, но там, където тя наистина достига до дома, са проблемите, пред които са изправени потребителите, които бяха причинени от тази липса на надзор. FTC обяснява, че внедряването на HTC на Carrier IQ и HTC Logger на своите устройства оставя клиентските данни уязвими за атака, наред с грешки, които биха позволили на трети страни да заобиколят вградената система за разрешения на Android.
Втората част от оплакването на FTC е, че установява, че HTC е бил измамен в разказа на потребителите за рисковете за сигурността на реализациите на софтуера си, заявявайки, че ръководствата за потребителя на устройството и интерфейса на приложението „Кажи HTC“ са били подвеждащи. Твърди се, че и двата проблема в прилагането са подкопали нормалния механизъм за съгласие на Android, който би запазил данните на потребителите.
И какво означава това за HTC? FTC изисква от компанията да разработи и пусне софтуерни лепенки за своите устройства, които са засегнати с тези уязвимости, а HTC заяви, че вече е пуснала някои кръпки. Освен това HTC ще трябва да подлага на „независими оценки на сигурността“ на всеки 2 години през следващите 20 години. Освен това HTC ще бъде забранено да прави подвеждащи изявления относно сигурността на своите устройства и данните на потребителите напред.
Това е доста голяма констатация от FTC, но не е непременно рядкост. Въпреки че може да не са широко разпространени експлоатации, които се възползват от тези дупки в сигурността, важно е HTC да прави промени, за да помогне на сигурността да продължи напред. Въпреки че бихме предпочели, ако HTC въвеждаше най-добрите практики на първо място, а не да стигне до разследване от FTC.
Източник: FTC
